NRI Secure SANS NewsBites 日本版

Vol.5 No.13 2010年4月9日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.13 2010年4月9日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
米国のサイバーセキュリティの歴史に新たな1ページ:
2010年3月24日の米国下院公聴会は大きな役割を果たした。8,000万ドルのIT支
出を統括しているホワイトハウスの官僚は、宣誓下で参加者に対し、米国政府
が定めたコンプライアンスにより、1機関で1億ドル以上(政府全体で30億ドル
以上)の無駄が発生する結果となったと証言した。また今後は、政府の要求事
項を変更し、諸機関にコンプライアンス報告書を要求しないことを約束した。
今までの報告書には期限切れのデータが記載され、重要な脅威はほとんど論じ
られていなかった。企業と官公庁は、この証言に対して歓声をあげた。
最も重要なことは、連邦監察官が政府機関に対してそのような無駄な報告を要
求した場合、監察官はこの要求によって生じたセキュリティ障害に対して責任
を負うという通告を受けたことだ。まだそのような報告書を作成し続けている
官僚やコンサルタントは、FBIサイバー最高責任者の発言に関する2番目の記事
を読んでいただきたい。

第二の朗報:
米国海軍は、USサイバーチャレンジで実証されるようなサイバーセキュリティ
の才能のある若者に対し、4年間全額給付の奨学金を設けた。その奨学金を取
得するための最初の競技会が、4月の第2週に実施される。優秀な子供たちをご
存じであれば、彼らにuscyberchallenge.orgのサイトを見るように勧めていた
だきたい。

商用ツ-ルに匹敵する無償のフォレンジクスツール:
SANSフェローのRob Leeは、Computer Forensic Investigations and Incident
Response course (FOR 508)の受講者が使用するオープンソースを使用して、
高度なフォレンジック調査ができる"SANS Investigative Forensic Toolkit
(SIFT)"を開発した。フォレンジクスを行う人は誰でも入手できる。
http://computer-forensics.sans.org
  ※Community Tabの下 - > Downloadsを選択
   何千人もの人々が同時にSIFTをダウンロードすると、ネットワークは遅く
   なる。ご了解いただきたい。

■■SANS NewsBites Vol.12 No.24-25
   (原版:2010年3月26日、3月30日配信)

◆FISMAに厳しい批難 FISMA 2.0法案、業界と政府参考人が支持(2010.3.25)
下院監督委員会および政府の管理・組織・調達に関する改革小委員会(連邦情
報セキュリティ管理法案策定担当)のWatson議長は、多くの問題を解決する一
方、連邦政府のサイバーセキュリティで無駄な費用を発生させていたFISMA
(連邦情報セキュリティ管理法)の全面改正を提出した。業界(TechAmerica)、
元連邦政府CIO John Gilligan、政府参考人(行政管理予算局、国務省、国防総
省)はこぞって賛成した。Watsonが緊急である旨を表明したことにより、法案
はすぐに改正される可能性がある。たとえ改正されなくとも、米国のVivek
Kundra CIOは、ホワイトハウスの既存の権力を利用して、最も重要な多くの変
更を実施する意向のようだ。SANSのAlan Paller (Director of Research)は
FISMA小委員会に対して、「FISMAは現在まで実施されてきたが、政府のITセキュ
リティに有益というよりは有害である」と語った。この証言の中でPallerは、
政府がサイバー攻撃により迅速かつ効率的に対処するのに役立ったかもしれな
い必要な資金を吸い上げてしまうFISMAの規定を特に強調した。また、誤った
費用配分は「病院で外科医よりもコンプライアンス担当者により多く支払って
いることと同様だ」とし、セキュリティ専門家の報酬の不均衡を招いたとした。
Pallerは、FISMAを実行するために策定された4つの「ひどく有害な」プロセス
を挙げた。それらは、連邦情報セキュリティコントロールおよび監査マニュア
ル(FISCAM)、連邦CIOと監察官による年次報告、認証および認定報告記述プロ
セス、NIST(国家標準技術研究所)のSP800-53に定められたセキュリティコン
トロール評価である。Pallerは、政府が実施できる最も重要で効果的なセキュ
リティプロセスはITシステムとネットワークをリアルタイムで監視することだ
と述べた。
http://www.computerweekly.com/Articles/2010/03/25/240719/Sans-founder-slams-39terribly-damaging39-US-cyber-security.htm
http://gcn.com/articles/2010/03/25/fisma-hearing-032510.aspx
http://www.federaltimes.com/article/20100324/IT01/3240305/1001
Kundraの証言:
http://oversight.house.gov/images/stories/Hearings/Government_Management/032410_Federal_Info_Security/2010.FISMA.Kundra.testimony.final.pdf
Pallerの証言:
http://oversight.house.gov/images/stories/Hearings/Government_Management/032410_Federal_Info_Security/Testimony_of_Alan_Paller_March_24_2010.pdf
Gilliganの証言:
http://oversight.house.gov/images/stories/Hearings/Government_Management/032410_Federal_Info_Security/Testimony_of_J_Gilligan_3-24-10.pdf
その他の証言:
http://oversight.house.gov/index.php?option=com_content&task=view&id=4855&Itemid=28
────────────────

◆サイバー攻撃 国の存在を脅かす可能性(2010.3.24)
先日、連邦オフィスシステム展示会(FOSE)の政府ITトレードショーで、FBIサ
イバー事業部のSteven Chabinsky副アシスタントディレクターは、サイバー攻
撃者はますます悪質・巧妙化し、攻撃は我々が知っているように米国の存在に
脅威をもたらす可能性があると警告した。FBIの最優先課題は、「テロリズム」
と「(時には不正な目的で)毎日、国家の機密や民間部門の知的財産を盗もう
としている国々」である。
http://www.computerworld.com/s/article/9173967/Cyberattacks_an_existential_threat_to_U.S._FBI_says?source=CTWNLE_nlt_dailyam_2010-03-24
http://www.theregister.co.uk/2010/03/24/us_under_cyber_threat/
────────────────

◆FOX、Yahoo、Googleの広告がマルウェア配信 セキュリティ会社の主張
  (2010.3.22)
昨年、New York Timesのような社会的地位の高いサイトの広告にウィルスや他
のマルウェアが潜んでいることが発覚した。
<http://news.cnet.com/8301-27080_3-10353402-245.html>
次いで保守的なニュースアグリゲータ「Drudge Report.com」
<http://news.cnet.com/8301-27080_3-10466044-245.html>
ユーザーはクリックしなくても、広告がブラウザでロードされると感染する。
http://news.cnet.com/8301-27080_3-20000898-245.html
────────────────

◆TJX首謀者 20年の懲役刑(2010.3.25)
米国地方裁判所判事は、数千万ものペイメントカード番号と関連する暗証番号
を盗んだサイバー攻撃を画策した疑いで、Albert Gonzalezに20年の懲役刑を
宣告した。Kim Zetter(Wired)は、ラトビアおよびウクライナの共犯者を含む
長いサイバー犯罪歴を明確にわかりやすく説明している。
http://www.wired.com/threatlevel/2010/03/tjx-sentencing/
http://www.eweek.com/c/a/Security/Gonzalez-Gets-20-Years-in-Hacker-Case-827849/
http://news.bostonherald.com/business/general/view/20100325tjx_hacker_gets_20_years_in_prison/srvc=home&position=also
http://www.scmagazineus.com/hacker-albert-gonzalez-receives-20-years-in-prison/article/166571/
────────────────

◆スマートメーターにセキュリティホール(2010.3.26)
InGuardiansのセキュリティ研究員、Joshua Wrightは、多くの米国ユーティリ
ティ事業者が顧客に展開しているスマートメーターに多数のセキュリティの脆
弱性を特定した。その脆弱性は、無線で遠隔地から悪用することも、物理的に
メーターを改ざんすることによって悪用することも可能で、請求を増額したり、
電源を切断することもできる。3つの電力会社により委託された調査から、試
験に提供されたメーターのメーカー5社すべてに脆弱性が発見された。米国内
では、今までに800万台のスマートパワーメーターがインストールされており、
2020年には6,000万台に達する。
http://www.syracuse.com/news/index.ssf/2010/03/smart_utility_meters_have_secu.html
http://www.katu.com/news/tech/89329887.html#idc-container

【編集者メモ】(PallerとSchultz)
米国の公益事業は、体系的にセキュリティリスクを分析せず、既知の脅威に対
し有効な対策をとっているか検証せずに、メーター製造業者が安全を確認して
いると完全に信用し、スマートメーターのインストールを急ピッチで進めてき
た。
────────────────

◆DNSエラー 中国のGreat Firewallを拡大(2010.3.25)
中国のルートDNSサーバの問題により、合衆国およびチリのコンピュータは中
国のGreat Firewallの管理下に置かれ、Facebook、Twitter、YouTubeといった
サイトへのリクエストは中国のサーバにリダイレクトするようになっている。
スウェーデンのサービスプロバイダNetnodによって運営されていたサーバは、
インターネットを切断するとすぐに問題は解決した。その問題は、最初NIC
Chileによって発見され、いくつかのISPは不正なDNS情報を提供していること
に気付いた。中国はDNSを使ってGreat Firewallを実行し、影響を受けたISPは
何らかの形でこのDNS情報を使用していた。Netnodは、サーバにはトラフィッ
クをリダイレクトする不正なデータは含まれていないと主張し、セキュリティ
専門家は中国政府によって改ざんされたものと確信している。
http://www.computerworld.com/s/article/9174278/After_DNS_problem_Chinese_root_server_is_shut_down
http://www.zdnet.co.uk/news/security-threats/2010/03/26/web-error-redirects-traffic-to-chinese-sites-40088453/
http://www.computerworld.com/s/article/9174132/China_s_Great_Firewall_spreads_overseas?taxonomyId=17&pageNumber=1

【編集者メモ】(Schultz)
見方によっては、中華人民共和国政府は「善人」とも「悪人」ともなる。いず
れにしても、中国政府は他国のスパイに長けていて、他国が中国をスパイする
よりもはるかに上手だ。

【編集者メモ】(Northcutt)
この記事は、時間をかけて読む価値があり、あなたの持っているホストテーブ
ルは最初、たくさんのオペレーティングシステムの怠りの相談を受けたことを
肝に銘じて欲しい。VPNコンセントレータ、メールサーバなどをホストテーブ
ルに加えることを考えてほしい。私の理解では、これは中国にとって目新しい
ことではない。2002年にも同様の出来事があった。
http://www.dit-inc.us/hj-09-02.html

もちろん、2008年オリンピックの時にもフィルタリングについての議論があっ
た。
http://cyber.law.harvard.edu/node/4504
────────────────

◆サイバー犯罪に対する戦い より一層の協力を(2010.3.26)
欧州評議会(CoE)のサイバー犯罪に関する第5回年次会議が、今週フランスのス
トラスブルグで開かれる。その会議で、代表者らは脅威を増しているサイバー
犯罪に対処するさまざまな方法を検討する。それは法執行機関と業界のより一
層の協力、ICANNのドメイン名登録プロセスコントロール強化、CoEのサイバー
犯罪に関する協定の世界規模での実施などである。最初2001年に最初に導入さ
れ、米国および多数の欧州諸国を含む計29カ国がすでにその協定に批准してい
る。他の19カ国がその協定に署名しているが、まだ批准していない。その協定
は、サイバー犯罪に対する法律の導入をしようとしている国々に対するガイド
ラインを提供し、国際協力の枠組みも提供する。
http://www.theregister.co.uk/2010/03/26/cybercrime_conference/
http://www.networkworld.com/news/2010/032510-police-security-officials-meet-on.html?page=1

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年3月25日 Vol.9 No.13)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            8
Linux                      4
Cross Platform                 31 (#1, #2, #3)
Web Application - Cross Site Scripting     13
Web Application - SQL Injection        29
Web Application                33
======================================================================
1.危険度【高】:Mozilla製品に複数の脆弱性

<影響を受ける製品>
Firefox 3.6.2以前のバージョン
Firefox 3.5.8以前のバージョン
Firefox 3.0.188以前のバージョン
Thunderbird 3.0.28以前のバージョン
SeaMonkey 2.0.38以前のバージョン

<詳細>
Mozilla Foundationの一般的なWebブラウザであるFirefox、インターネットス
イーツSeaMonkeyおよび電子メールクライアントThunderbirdのようないくつか
の製品には複数の脆弱性が含まれている。最初の問題は、WOFFデコーダーの圧
縮フォント展開処理時のインテジャーオーバーフローのエラーによって引き起
こされる。2番目の問題は、Firefox 3.6が”multipart/x-mixed-replace”形
式の画像を不適切に処理することによって発生し、削除された画像フレームを
再使用してしまう可能性がある。3番目の問題は、"window.location"オブジェ
クトをオーバーライドすることにより、same origin policyを回避することで
ある。4番目の問題は、Firefoxその他のMozeillベース製品で使用されるブラ
ウザエンジンにおけるメモリー破損のエラーである。5番目の問題は、セキュ
リティ制限を回避する問題で、特定のラップされたオブジェクトが処理される
際のエラーによって引き起こされる。6番目の問題は、コンテンツポリシーを
無視する問題で、画像をプリロード際のエラーのため、引き起こされる。7番
目の問題は、リモートNULドキュメントで使用されるスタイルシートを処理す
る際のエラーによって引き起こされ、ブラウザクロームが改変される可能性が
ある。最後の問題は、フィッシング攻撃で、非同期の認証プロンプトを誤った
ウィンドウに添付するエラーによって引き起こされる。これらの脆弱性に関す
る技術的詳細はソースコード分析を通じて入手することができる。

<現状>
ベンダーはこの問題を認めているが、更新はリリースされていない。

<参考>
Mozilla Security Advisories
http://www.mozilla.org/security/announce/2010/mfsa2010-08.html
http://www.mozilla.org/security/announce/2010/mfsa2010-09.html
http://www.mozilla.org/security/announce/2010/mfsa2010-10.html
http://www.mozilla.org/security/announce/2010/mfsa2010-11.html
http://www.mozilla.org/security/announce/2010/mfsa2010-12.html
http://www.mozilla.org/security/announce/2010/mfsa2010-13.html
http://www.mozilla.org/security/announce/2010/mfsa2010-14.html
http://www.mozilla.org/security/announce/2010/mfsa2010-15.html
ベンダーホームページ
https://www.mozilla.org
SecurityFocus BID's
http://www.securityfocus.com/bid/38298
http://www.securityfocus.com/bid/38918
http://www.securityfocus.com/bid/38919
http://www.securityfocus.com/bid/38920
http://www.securityfocus.com/bid/38921
http://www.securityfocus.com/bid/38922
http://www.securityfocus.com/bid/38927
────────────────

2.危険度【高】:Google Chromeに複数の脆弱性

<影響を受ける製品>
Google Chrome 4.0.249 .89
Google Chrome 4.0.249 .78

<詳細>
Google Chrome(Googleが開発したWebブラウザ)は、すべてのWebブラウザ中、
2.59%シェアがある4番目に人気のあるWebブラウザである。複数の脆弱性が
Google Chromeに確認され、攻撃者はこれらの脆弱性を利用してセキュリティ
制限を回避し、脆弱なシステムを侵害することができる。最初の問題は、
sandboxの競合状態とポインターエラーである。2番目の問題はpersistentのメ
タデータの削除に利用することができる。3番目の問題はアプリケーションが
細工されたSVGファイルを処理する際のメモリーのエラーによって引き起こさ
れる。4番目の問題は、WebKit JavaScriptオブジェクトを処理する際のインテ
ジャーオーバーフローのエラーによって引き起こされる。5番目の問題は、長
いサブドメインを用いて、HTTP AUTHダイアログのなりすましによって引き起
こされる。6番目の問題は、悪用されるとダウンロードの警告ダイアログの回
避に繋がる可能性がある。最後の問題は、特定されていないエラーによって引
き起こされ、cross-originポリシーの回避を引き起こす可能性がある。技術的
詳細はソースコード分析を通じて公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Google Chrome Security Release
http://googlechromereleases.blogspot.com/2010/03/stable-channel-update.html
Google Chromeに関するWikipedia記事
http://en.wikipedia.org/wiki/Google_Chrome
製品ホームページ
http://www.google.com/chrome
SecurityFocus BID
http://www.securityfocus.com/bid/38829
────────────────

3.危険度【高】:Mozilla SeaMonkeyに複数の脆弱性

<影響を受ける製品>
SeaMonkey 1.1.19以前のバージョン

<詳細>
SeaMonkeyは、Mozillaの一般的なクロスプラットフォームインターネットスイー
トであり、Webブラウザ、電子メールクライアント、ダウンロードマネージャー
などを含む。複数の脆弱性がSeaMonkeyに特定され、攻撃者はそれらを利用し
て、情報を公開、または脆弱なシステムを侵害することができる。最初の問題
はSeaMonkeyがFlashオブジェクトのようなスクリプト可能なプラグインコンテ
ンツを処理する際のエラーによって引き起こされ、SeaMonkeyメールにプラグ
インを実行する可能性がある。2番目の問題は、SSPI認証を利用し、Vista以降
でアクティブディレクトリに結合する際、引き起こされるエラーであり、クラッ
シュする可能性がある。3番目の問題は、特定のメッセージがアタッチメント
とともに検索される際のエラーによって引き起こされる。その他の問題は、以
前に報告されたJavaScriptエンジンのエラー、ブラウザエンジンのBinHexのエ
ラー、およびbase64デコーディング機能のインテジャーオーバーフローのエラー
である。脆弱性に関する全技術的詳細はソースコード分析を通じて入手できる。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Mozilla Security Advisories
http://www.mozilla.org/security/announce/2009/mfsa2009-49.html
http://www.mozilla.org/security/announce/2009/mfsa2009-59.html
http://www.mozilla.org/security/announce/2009/mfsa2009-62.html
http://www.mozilla.org/security/announce/2009/mfsa2009-68.html
http://www.mozilla.org/security/announce/2010/mfsa2010-06.html
http://www.mozilla.org/security/announce/2010/mfsa2010-07.html
SeaMonkeyに関するWikipedia記事
http://en.wikipedia.org/wiki/SeaMonkey
ベンダーホームページ
https://www.mozilla.org
SecurityFocus BID's
http://www.securityfocus.com/bid/36343
http://www.securityfocus.com/bid/36867
http://www.securityfocus.com/bid/37366
http://www.securityfocus.com/bid/38831

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。